「95%の企業がマルウェアのターゲットになり、100%の企業でマルウェアアクセス実績がある時代のセキュリティ対策とは」(吉政忠志のワークスタイルの変革コラム)

Cisco Annual Securityレポート2014によると、「95%の大企業は、マルウェアのターゲットになっています。 すべての組織において、マルウェアサイトへのアクセスがあります。」と書かれています。

そして、そのレポートには1時間で数万ものマルウェアが発生し、企業に攻撃をしてくると書かれています。

この調査データをご覧になられて驚かれた方もいると思いますが、事実としていえるのは、大半の企業がターゲットになり、その結果、マルウェアサイトへのアクセスが100%の組織で発生しているということです。

そして、そのマルウェアの攻撃は1回ではなく、日々というか毎時間のようにされていると思います。その状況で、果たして防御だけの対策で十分でしょうか。
感染を前提とした、被害を最低限に抑える対策までしないと十分といえないでしょう。

一方で、NPO法人日本ネットワークセキュリティ協会の「2015年情報セキュリティインシデントに関する調査報告書」2によると一件あたり平均想定損害賠償額3億3705万円で一人あたり平均想定損害賠償額は2万8020円だそうです。賠償をする金額は大きく、企業の信頼以外にも受けるダメージは金銭的にも大きいです。

ここで注目いただきたいのは、この時の損害賠償金額の大きさは主にどのような基準で決められるかご存知でしょうか?

様々な判例を見ると、「企業としての責任」が問われています。
完璧な対応をしている企業は、企業責任は少なく、損害賠償も減額される傾向があるようです。一方で対応に不備がある企業は情報管理を全うしていないということで、賠償金額も増加する傾向があります。 賠償金額は漏えいした情報など様々な要件によって増減します。しかし、これだけ世の中でマルウェアなどのウイルスの件で騒がれているのに、対応を怠っている場合は、企業の責任は重いと思います。

では、どの程度まで対策をすればよいのでしょうか。日本の企業の対策状況は以下の通りです。

27年度総務省「通信利用動向調査」より

上記のグラフを見ると、ウイルス対策プログラムをクライアントやサーバに入れておくだけの企業が大半のようですね。しかしながら、ウイルスプログラム1本入れただけではかなり不安ですよね。実際に、著名なアンチウイルスを導入している企業がセカンドオピニオンとしてもう1本アンチウイルスを導入してスキャンしたところ、今まで発見することができていなかったウイルスが見つかった話はよくあります。 ここから言えるのはアンチウイルスだけでは不十分であるが、それでも、アンチウイルスの対応しかしていない企業が大半であるということです。

企業としては、できるだけウイルスの流入を防ぎつつ、感染後の対応もガイドラインを踏まえて対応することが求められていると思いますし、そこまで対応することで、企業としてのシステム面での責任を果たしていると思います。
興味がある方は、以下のページで、Cisco AMP for Endpointを紹介していますので、ご覧ください。このページでは各種市場データやマルウェアの検知・隔離・感染範囲、原因特定の方法が分かりやすく概念図で説明されています。是非今後の参考にしてください。

Cisco AMP for Endpoint
https://www.si-jirei.jp/cisco/security_solution/amp-for-endpoints/

Related post

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。今日は「Ruby on Railsを高速化するKUSANAG…
  2. 本連載では、全国の企業の皆様がICTを有効活用して、業務課題の解決や生産性の向上を通じて残業時間の短…
  3. 1.はじめに みなさん、こんにちは! 最近はめっきり寒さが際立つ様になってきました。 プラ…

最新事例

  1. 下記の通り、 Cisco Meraki導入事例「株式会社 陣屋 」を公開しました。ご興味がある方は下…
  2. アンチウイルス「Dr.Web」の導入事例「日本通運の運行管理システムで活用される約1万台のスマートフ…
  3. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…

ログインステータス

You are not logged in.
Return Top